Non-profit organisatie sust botnet in slaap

'Neerhalen Coreflood-botnet is best mogelijke aanpak'

15-04-2011 11:52 | Door Jolein de Rooij | Lees meer artikelen over: Malware, ISP, Botnets | Lees meer over het bedrijf: Internet Systems Consortium | Er zijn 4 reacties op dit artikel | Dit artikel heeft nog geen cijfer (te weinig beoordelingen) | Permalink
lui kat

Internet Systems Consortium (ISC) oogst bewondering met de innovatieve uitschakeling van botnet Coreflood. De non-profit internetorganisatie kreeg van een Amerikaanse rechter toestemming om zijn eigen commando- en controleservers in de lucht te brengen, nadat de kwaadaardige controle-infrastructuur van CorefIood op 12 april door de FBI was uitgeschakeld.

ISC verwijdert de Coreflood-malware niet van geïnfecteerde pc's, want dat mag juridisch niet, maar vertelt de pc bij elke reboot om de Coreflood-software af te sluiten. Daardoor kan de malware geen schade aanrichten.

Daarnaast verzamelen de commando- en controleservers van ISC de IP-adressen van geïnfecteerde machines. Deze informatie geven ze door aan de betrokken providers, die hierdoor in staat worden gesteld hun klanten te informeren. In tandem hiermee verwijdert Microsoft via de Malicious Software Removal Tool de malware van geïnfecteerde Windows-machines.

'Best mogelijke aanpak'

Michel van Eeten

Michel van Eeten

'Ik verwacht dat dit de komende jaren de dominante aanpak gaat worden', vertelt Michel van Eeten, hoogleraar bestuurskunde aan de faculteit Techniek, Bestuur & Management van de Technische Universiteit (TU) Delft. 'Dit is momenteel de best mogelijke aanpak.'

De aanpak vormt volgens Van Eeten 'een interessant experiment dat een balans weet te vinden tussen twee extremen: alleen de commando- en controleservers aanpakken, en daarmee de bots ongemoeid laten, of de bots ook aanpakken door via het botnet verwijdersoftware of counter-infecties te laten distribueren. Dat laatste, een droom van sommige beveiligingsexperts, is een onzalig plan om allerlei redenen en bovendien illegaal.'

Van Eeten: 'Dit experiment laat echter de software ongemoeid en stuurt alleen een soort slaapinstructie. Ondertussen worden de IP-adressen gebruikt om de betreffende ISP's te waarschuwen. Die kunnen contact opnemen met de gebruiker en hem of haar een gratis een verwijdertool aanbieden. Gebruikers nemen echter zelf verantwoordelijkheid voor het draaien van de tool, dat wordt niet opgelegd.'

Slechts één op tien machine-infecties aangepakt

De uitschakeling van Coreflood door ISC kent echter één zwak punt, volgens van Eeten. 'Hoeveel ISP's gaan daadwerkelijk actie ondernemen op basis van deze informatie en hoeveel gebruikers volgen het advies van de ISP daadwerkelijk op?' Uit eerder onderzoek van Van Eeten bleek dat slechts bij één op de tien machine-infecties actie wordt ondernomen door Nederlandse internetproviders, door bijvoorbeeld de klant te informeren of deze in quarantaine te plaatsen.

'Ook bij Bredolab heeft men de IP-adressen aan de ISP's in allerlei landen doorgespeeld, maar de meeste ISP's deden niets met die informatie', aldus Van Eeten. Ook bij het neerhalen van het Bredolab-botnet brachten Nederlandse autoriteiten eigen commando- en controleservers in de lucht. Deze leidde elke met Bredolab geïnfecteerde machine die contact zocht, naar een website met informatie over het opschonen van hun pc.

'Internationale samenwerking ontbreekt'

Rik Ferguson

Rik Ferguson

Het ontbreken van internationale samenwerking is een ander zwak punt van het neerhalen van Coreflood. Daarop wijst beveiligingsexpert Rik Ferguson van Trend Micro. Hij noemt het resultaat van de actie 'beperkt', omdat ISC alleen toestemming heeft om Amerikaanse bots aan te sturen. Ook vindt de beveiligingsexpert het een nadeel dat ISC de malware niet verwijdert en in plaats daarvan elke keer als een geïnfecteerde machine is geherstart, opnieuw instructies moet verzenden.

Voor een succesvolle aanpak van botnets moeten volgens Ferguson een aantal ingrediënten samenkomen: 'handhaving, een proactieve opstelling van internet service providers en internationale harmonisering van wetgeving.'

Juist die internationale samenwerking ontbreekt in dit geval. 'Grotere internationale samenwerking zou het mogelijk maken om dit type activiteit te laten plaatsvinden over een groter geografisch gebied. Het zou bovendien geweldig zijn wanneer de FBI de IP-adressen van geïnfecteerde machines over de gehele wereld zou kunnen sturen, omdat het botnet zich ook niet beperkt tot de Verenigde Staten', aldus Ferguson.

De manier waarop Coreflood is aangepakt toont volgens Ferguson wel aan dat botnet-bestrijdings-eenheden 'leren van vroegere acties'.

Veelkoppige slang Hydra

Botnets worden tot nu toe voornamelijk aangepakt via het uitschakelen van de commando- en controleservers. Hoewel zo'n actie 'botherders' het wapens uit de handen slaat, blijven met malware geïnfecteerde computers in de lucht, in afwachting van nieuwe instructies. Dat geeft kwaadwillenden de mogelijkheid om vanaf een nieuwe commando- en controlestructuur opnieuw de controle over het botnet over te nemen.

'Je kunt het vergelijken met Hercules die de de veelkoppige slang Hydra bestrijdt: je kunt een botnet niet uitschakelen door de koppen er af te slaan. Sla er één hoofd af en er zullen twee nieuwe groeien. Dat is het probleem met botnets. Je moet dus een andere manier vinden', vertelde beveiligingsadviseur Rik Ferguson van Trend Micro eerder aan Computable.

Coreflood

Coreflood dook voor het eerst op in 2003 in de vorm van een trojan, dat regelmatig updates ontving om anti-malware software te slim af te zijn. Vanaf 2009 transformeerde het tot een botnet en infecteerde zo'n twee miljoen computers wereldwijd. Coreflood was verre van onschuldig: het verzamelde financiële informatie op geïnfecteerde machines en verzond dit naar de commando- en controleservers van het botnet.

13:15 Update

Reactie beveiligingsexpert Rik Ferguson is toegevoegd ('Internationale samenwerking ontbreekt')

Deel dit artikel via LinkedIn
Deel dit artikel via Facebook
Deel dit artikel via Twitter